网络(八)VLAN虚拟局域网和单臂路由
前言
在典型交换网络中,当某台主机发送一个广播帧或未知单播帧时,该数据帧会被泛洪,甚至传递到整个广播域。广播域越大,产生的网络安全问题、垃圾流量问题就越严重。在这种情况下出现了VLAN (Virtual Local Area Network)技术解决以上问题,将介绍VLAN技术的相关概念,介绍不同二层接口的工作原理,并且会介绍VLAN的应用及其数据转发原理和相关配置。
目录
前言
一、VLAN的概念及优势
1. 概念
2. 优势
二、以太网二层接口类型
三、静态VLAN和Trunk介绍配置
1. VLAN的范围
2. 802.1Q协议
2.1 定义
2.2 图示
3. 配置静态vlan步骤
4. 案例一
4.1 图示
4.2 交换机LSW1建立vlan10和vlan20,将接口1、2选择access类型,并加入vlan10
4.3 设置临时组,将接口3、4类型选择access,并加入vlan20
4.4 将接口5选择trunk类型,并允许所有vlan通过
4.5 交换机LSW1建立vlan10和vlan20,将接口2、3选择access类型,接口1选择trunk类型,并允许所有vlan通过
4.6 测试网络
4.7 抓包观察
5. 案例二
5.1 图示
5.2 交换机LSW2接口4选择trunk类型,并允许所有vlan通过
5.3 路由器AR1封装dot1q协议,两个接口分别对应vlan10和vlan20,分别配置子接口IP,对应网关是192.168.1.254和192.168.2.254
5.4 测试网络
5.5 单臂路由实现不同VLAN间通信的原理
5.6 单臂路由的缺陷
四、总结补充
1. access接口过程
2. trunk接口过程
3. hybrid类型介绍
3.1 原理
3.2 图示
3.3 分别为端口1,2,3配置pvid10,20,30;分别配置端口允许接收VLAN标签为10、20、30的数据帧,允许转发VLAN标签为10、20、30的数据帧,转发时去掉VLAN标签
3.4 测试网络
一、VLAN的概念及优势
1. 概念
LAN(Virtual Local Area Network)的中文名为"虚拟局域网",将大的网络划分成小的局域网。主要作用是:划分广播域(不是划分网段),隔绝广播。其划分广播域主要有逻辑分割和物理分割(加路由器,成本太高一般不使用)。
2. 优势
① 控制广播
② 增强网络安全性
③ 简化网络管理
二、以太网二层接口类型
① access:交换机连接PC机,路由器(绝大多数)
② trunk:交换机连接交换机(可以允许多条vlan通过)
③ hybrid:混杂模式(华为设备间特有,手动控制,了解即可)
三、静态VLAN和Trunk介绍配置
1. VLAN的范围
| VLAN ID范围 | 范围 | 用途 |
| 0,4095 | 保留 | 仅限系统使用 用户不能查看和使用这些VLAN |
| 1 | 正常 | Cisco默认VLAN 用户能够使用该VLAN,但不能删除它 |
| 2~1001 | 正常 | 用于以太网的VLAN 用户可以创建、使用和删除这些VLAN |
| 1002~1005 | 正常 | 用于FDDI和今牌环的Cisco默认VLAN 用户不能删除这些VLAN |
| 1006~1024 | 保留 | 仅限系统使用 用户不能查看和使用这些VLAN |
| 1025~4094 | 扩展 | 仅用于以太网VLAN |
2. 802.1Q协议
2.1 定义
802.1Q协议,即Virtual Bridged Local Area Networks协议,主要规定了VLAN的实现,IEEE 802.1q 标准为标识带有VLAN 成员信息的以太帧建立了一种标准方法。IEEE 802.1q 标准定义了 VLAN 网桥操作,从而允许在桥接局域网结构中实现定义、运行以及管理VLAN 拓扑结构等操作。
2.2 图示
3. 配置静态vlan步骤
① 先建立vlan(默认只有vlan1)
② 选择端口的类型
③ 将端口加入到vlan中
4. 案例一
·相同网段实现vlan隔绝:左边划为vlan10,右边划为vlan20
4.1 图示
4.2 交换机LSW1建立vlan10和vlan20,将接口1、2选择access类型,并加入vlan10
4.3 设置临时组,将接口3、4类型选择access,并加入vlan20
4.4 将接口5选择trunk类型,并允许所有vlan通过
4.5 交换机LSW1建立vlan10和vlan20,将接口2、3选择access类型,接口1选择trunk类型,并允许所有vlan通过
4.6 测试网络
4.7 抓包观察
5. 案例二
·不同网段利用单臂路由实现全网互通:192.168.1段和192.168.2段设备实现互通
5.1 图示
5.2 交换机LSW2接口4选择trunk类型,并允许所有vlan通过
5.3 路由器AR1封装dot1q协议,两个接口分别对应vlan10和vlan20,分别配置子接口IP,对应网关是192.168.1.254和192.168.2.254
注:准确点说是802.1q协议,dot1q其实就是“点1q”。dot1q termination vid 10意思是:该子接口在收到带有vlan10 tag(标签)的报文时,将剥离tag进行三层转发,该子接口在发送报文时,会添加该子接口对应的vlan10 tag到报文中。
5.4 测试网络
5.5 单臂路由实现不同VLAN间通信的原理
所有的数据包都通过交换机与路由器相连的接口划分的逻辑接口(子接口)进行转发数据,而且通过802.1q协议来对数据包进行802.1q协议的vlan封装。子接口要配置每个vlan的网关地址。路由器收到不同数据包后首先根据自己的子接口区分vlan,然后再重新分装vlan标签进行转发数据包。
5.6 单臂路由的缺陷
① “单臂”为网络骨干链路,容易形成网络瓶颈
② 子接口依然依托于物理接口,应用不灵活
③ VLAN间转发需要查看路由表,严重浪费设备资源
四、总结补充
1. access接口过程
① 如果收到一个没有vlan标签的数据帧,交换机会接收数据,打上自己端口的vlan标签;
② 如果收到带有vlan标签的数据帧,交换机会和自己的vlan标签表比较,如果一样放行,并脱掉标签;如果不一样拒收。
2. trunk接口过程
① 如果收到一个没有vlan标签的数据帧,交换机也会打上自己端口的vlan标签,一般是vlan1;
② 如果收到带有vlan标签的数据帧,交换机会看Vlan List放行列表,如果在放行,并且不脱标,如果不在则拒收。
3. hybrid类型介绍
3.1 原理
Hybrid端口收到一个报文,如果没有VLAN信息,则打上端口 PVID 并进行交换转发。如果有VLAN信息,且该Hybrid端口允许该VLAN数据进入则转发,否则丢弃(此时端口上untag配置是不用考虑,untag配置只对发送报文时起作用) 。
·hybrid类型案例操作介绍
3.2 图示
3.3 分别为端口1,2,3配置pvid10,20,30;分别配置端口允许接收VLAN标签为10、20、30的数据帧,允许转发VLAN标签为10、20、30的数据帧,转发时去掉VLAN标签
3.4 测试网络
